La vulnerabilidad CVE-2024-12802 afecta la forma en que los dispositivos VPN de SonicWall manejan la autenticaci\u00f3n multifactor (MFA) para las cuentas de los directorios de empresas. Dependiendo del formato elegido durante el inicio de sesi\u00f3n, ya sea UPN (User Principal Name) o SAM (Security Account Manager), el segundo factor de autenticaci\u00f3n puede no aplicarse correctamente. Esto crea una brecha que un atacante podr\u00eda aprovechar, permitiendo el acceso al VPN a pesar de que la MFA deber\u00eda haberlo bloqueado.<\/p>\n
SonicWall public\u00f3 su aviso de seguridad en enero de 2025, proporcionando versiones actualizadas de SonicOS para mitigar esta vulnerabilidad. Sin embargo, en los equipos Gen6, la actualizaci\u00f3n por s\u00ed sola no resuelve el problema. Es necesaria una reconfiguraci\u00f3n manual de LDAP para asegurar que la MFA funcione correctamente. En varios entornos analizados por ReliaQuest, no se llev\u00f3 a cabo esta reconfiguraci\u00f3n, lo que permiti\u00f3 que los atacantes eludieran la MFA, incluso despu\u00e9s de aplicar el parche.<\/p>\n
Una vez conectados al VPN, los atacantes realizaron una serie de acciones peligrosas, como mapear las recursos accesibles y probar la reutilizaci\u00f3n de credenciales en otros sistemas internos. En al menos un caso, intentaron desplegar Cobalt Strike, una herramienta utilizada com\u00fanmente para llevar a cabo ataques cibern\u00e9ticos, y un controlador vulnerable destinado a debilitar las protecciones EDR (Endpoint Detection and Response) y antivirus. Estas acciones son caracter\u00edsticas de la fase de preparaci\u00f3n que se observa antes de los ataques por ransomware.<\/p>\n
Si todav\u00eda administras dispositivos SonicWall Gen6 y no has realizado la reconfiguraci\u00f3n de LDAP, es crucial que lo hagas de inmediato. Adem\u00e1s, se recomienda:<\/p>\n
Monitorear los registros de autenticaci\u00f3n<\/strong>: Presta especial atenci\u00f3n a las se\u00f1ales como Revisar los derechos de las cuentas VPN<\/strong>: Aseg\u00farate de que solo los usuarios autorizados tengan acceso.<\/p>\n<\/li>\n Considerar el reemplazo de equipos<\/strong>: Los modelos Gen6 han alcanzado su fin de vida, que fue el 16 de abril pasado. Evaluar la migraci\u00f3n a nuevas versiones garantizar\u00e1 que tu infraestructura est\u00e9 mejor protegida contra futuras amenazas.<\/p>\n<\/li>\n<\/ul>\n La vulnerabilidad CVE-2024-12802 resalta la importancia de no solo aplicar parches, sino tambi\u00e9n realizar configuraciones correctas y completas en los dispositivos de seguridad. La prevenci\u00f3n de ataques es un esfuerzo continuo que requiere atenci\u00f3n constante. La reconfiguraci\u00f3n y la supervisi\u00f3n regular son pasos vitales para mantener la seguridad en tu red VPN.<\/p>\nsess=\"CLI\"<\/code> que pueden indicar intentos de conexi\u00f3n automatizados.<\/p>\n<\/li>\nConclusi\u00f3n<\/h3>\n